BieAnimaton

Computer Science, Cyber Security, Red Team, Hardware Hacking, CPIA, CRTA, CRTSv2, CRT-COI, CRT-ID, MITRE ATT&CK.

23 minuto(s) de leitura

Aula I

Compreender a importância da GTI em uma organização e suas implicações no negócios.

Cenários:

  • Falta de alinhamento entre a TI e os objetivos de negócios.
  • Problemas com segurança da informação.
  • Necessidade de inovação em processos.
  • Gestão de riscos tecnológicos.

Pense numa proposta que aborde os desafios apresentados em seu cenário::

  • Estratégias de alinhamento da TI com os objetivos de negócio.
  • Medidas de segurança e proteção de dados.
  • Propostas para a inovação e melhoria de processos.
  • Planos de gestão de riscos.

Desafios da falta de alinhamento entre a TI e os objetivos de negócios:

  • Ineficiência Operacional: sistemas de TI que não estão alinhados com as necessidades de negócios podem levar a processos ineficientes, resultando em desperdício de recursos e tempo.
  • Dificuldade na Tomada de Decisões: A falta de informações precisas e em tempo real, muitas vezes causada por sistemas desatualizados ou incompatíveis, pode dificultar a tomada de decisões estratégicas.
  • Baixa Agilidade: Organizações que não possuem TI alinhada a seus objetivos de negócios podem ter dificuldade em se adaptar a mudanças no mercado, já que a tecnologia pode não suportar inovações ou alterações necessárias.
  • Desafio na Inovação: A falta de comunicação entre as equipes de TI e as de negócios pode restringir a capacidade de inovar e implementar novas soluções, pois a TI pode não entender completamente as necessidades do negócio.
  • Custos Elevados: Investimentos em tecnologias que não atendem às necessidades do negócio podem resultar em gastos desnecessários e na necessidade de frequentes ajustes.
  • Desmotivação de Colaboradores: Quando os profissionais de TI sentem que suas contribuições não são valorizadas ou utilizadas, isso pode levar à desmotivação, impactando a produtividade e a retenção de talentos.
  • Risco de Segurança: Sistemas que não são projetados com os objetivos de negócios em mente podem ser vulneráveis a riscos de segurança, uma vez que a TI pode não implementar as medidas de segurança adequadas.
  • Experiência do Cliente Comprometida: A falta de sinergia entre TI e negócios pode criar lacunas na experiência do cliente, resultando em insatisfação e perda de clientes.
  • Dificuldade em Mensurar Resultados: Sem um alinhamento claro, pode ser desafiador medir o impacto das iniciativas de TI nos resultados de negócios, dificultando a avaliação do retorno sobre investimento (ROI).
  • Problemas de Comunicação: A desconexão entre as equipes de TI e negócios pode levar a falhas na comunicação, resultando em mal-entendidos sobre as necessidades e prioridades de cada departamento.

Para mitigar esses desafios, é essencial promover a colaboração entre as áreas de TI e negócios, estabelecer uma comunicação clara e alinhada e garantir que a estratégia de TI suporte ativamente os objetivos organizacionais.

Desafios em relação aos problemas de segurança da informação:

Diversos e evoluem medida que a tecnologia avança.

  • Ameaças Cibernéticas em Evolução: Os cibercriminosos estão sempre desenvolvendo novas técnicas, como ransomware, phishing e malware, que podem comprometer a segurança da informação.
  • Complexidade das Infraestruturas de TI: Com a adoção de soluções em nuvem, Internet das Coisas (IoT) e redes híbridas, a complexidade das infraestruturas de TI aumenta, o que pode dificultar a implementação de medidas de segurança adequadas.
  • Falta de Conscientização e Treinamento: Muitos ataques se aproveitam da falta de conscientização dos funcionários sobre práticas seguras. O treinamento contínuo é essencial, mas muitas organizações ainda falham nesse aspecto.
  • Conformidade e Regulamentações: Organizações devem adotar políticas que atendam às regulamentações de proteção de dados, como o GDPR na União Europeia e a LGPD no Brasil. Isso pode ser um desafio, especialmente para empresas que operam em múltiplas jurisdições.
  • Gerenciamento de Identidade e Acesso: Controlar quem tem acesso a quais informações e garantir que apenas usuários autorizados possam acessar dados sensíveis é um desafio crítico para a segurança da informação.
  • Sistemas Legados: Muitas organizações ainda utilizam sistemas legados que podem não suportar as últimas práticas de segurança, tornando-as vulneráveis a ataques.
  • Privacidade dos Dados: Proteger a privacidade dos dados dos clientes e assegurar que não haja vazamento de informações pessoais são preocupações crescentes para as organizações.
  • Incidentes de Segurança e Resposta a Emergências: Muitas empresas não têm um plano sólido de resposta a incidentes, o que pode levar a danos maiores quando um ataque acontece.
  • Gestão de Fornecedores e Terceiros: A dependência de fornecedores e parceiros externos para serviços e tecnologia pode criar vulnerabilidades, especialmente se esses terceiros não seguirem as mesmas práticas de segurança.
  • Orçamento e Recursos: A alocação de recursos suficientes para a segurança da informação pode ser um desafio, especialmente em empresas menores que podem não ter o orçamento ou a equipe adequados para enfrentar adequadamente os riscos.
  • Evolução das Tecnologias: A rápida evolução das tecnologias, como inteligência artificial e machine learning, apresenta tanto oportunidades quanto novos riscos para a segurança da informação.

Esses desafios exigem uma abordagem multidimensional e proativa para garantir a segurança da informação nas organizações. É fundamental que as empresas desenvolvam uma cultura de segurança, invistam em tecnologia adequada e formem parcerias estratégicas para mitigar esses riscos

Desafios na inovação de processos:

Crucial para a competitividade e eficiência das organizações:

  • Resistência à Mudança: Funcionários e equipes podem resistir a mudanças nos processos estabelecidos, temendo a perda de empregos, aumento de carga de trabalho ou simplesmente devido ao desconforto com o novo.
  • Falta de Recursos: Inovar geralmente requer investimento em termos de tempo, dinheiro e tecnologia. A alocação insuficiente de recursos pode limitar a capacidade de explorar novas ideias e implementar melhorias.
  • Cultura Organizacional: Uma cultura que não incentiva a experimentação e o fracasso pode sufocar a criatividade e a inovação. É essencial cultivar um ambiente aberto a novas ideias.
  • Habilidade e Capacitação: A falta de habilidades e treinamentos adequados pode dificultar a implementação de novas tecnologias e processos. Investir em capacitação é fundamental.
  • Complexidade dos Processos: Processos já estabelecidos podem ser complexos, tornando difícil identificar áreas para inovação e melhoria. Isso pode resultar em uma abordagem conservadora para mudanças.
  • Falta de Visão Estratégica: A inovação deve estar alinhada com a estratégia mais ampla da organização. Sem uma visão clara, as iniciativas de inovação podem se dispersar ou falhar em gerar resultados.
  • Gestão de Mudanças: Implementar inovações requer uma gestão de mudanças eficaz. Falta de planejamento e comunicação durante esse processo pode levar a falhas na aceitação das novas práticas.
  • Integração de Tecnologia: A integração de novas tecnologias aos processos existentes pode ser desafiadora, especialmente se os sistemas legados não forem compatíveis ou necessitarem de grande adaptação.
  • Avaliação e Medição de Resultados: É fundamental ter métricas claras para avaliar o impacto das inovações. A ausência dessas métricas dificulta a justificativa de ações e o ajuste de estratégias.
  • Concorrência e Pressões do Mercado: A pressão para inovar pode ser intensa em setores altamente competitivos, mas isso pode levar a inovações apressadas, que não são bem planejadas ou executadas.
  • Sustentabilidade: Cada vez mais, as inovações precisam considerar a questão da sustentabilidade e responsabilidade social. Isso pode ser um desafio quando os objetivos de curto prazo entram em conflito com metas de longo prazo.

Enfrentar esses desafios exige uma abordagem estratégica e colaborativa, envolvendo todos os níveis da organização na busca por melhorias contínuas e inovação eficaz.

Desafios da gestão de risco:

Área crítica para organizações de todos os tamanhos e setores, especialmente em um ambiente de rápida evolução tecnológica.

  • Evolução Rápida da Tecnologia: A rápida evolução das tecnologias (como inteligência artificial, big data, internet das coisas, etc.) torna difícil para as organizações manterem suas políticas de gestão de riscos atualizadas.
  • Complexidade das Infraestruturas de TI: Com a crescente complexidade das infraestruturas de TI, que muitas vezes envolvem sistemas legados, nuvens híbridas e diversos fornecedores, identificar e gerenciar riscos se torna mais complicado.
  • Ameaças Cibernéticas: O aumento das ameaças cibernéticas, como ataques de ransomware, phishing e violação de dados, apresentam um risco constante que requer vigilância e respostas rápidas.
  • Conformidade Regulamentar: A conformidade com regulamentações, como a GDPR na Europa ou a LGPD no Brasil, adiciona camadas de complexidade à gestão de riscos, exigindo que as organizações implementem controles adicionais.
  • Vinculação com Negócios: Muitas vezes, as iniciativas de gestão de riscos tecnológicos não estão adequadamente alinhadas com os objetivos de negócio, tornando difícil justificar investimentos em segurança e mitigação de riscos.
  • Cultura Organizacional: A resistência à mudança dentro da organização pode dificultar a implementação de práticas eficazes de gestão de riscos. A conscientização e o treinamento dos funcionários são essenciais, mas podem ser desafiadores.
  • Falta de Talentos Especializados: A escassez de profissionais qualificados em segurança da informação e na gestão de riscos pode tornar difícil a execução efetiva das estratégias de mitigação de riscos.
  • Gestão de Terceiros: A dependência de provedores de serviços externos e fornecedores aumenta a probabilidade de ocorrer riscos. A gestão e a avaliação de riscos associados a terceiros têm se tornado uma preocupação crescente.
  • Análise de Dados: A coleta e análise de dados para identificar e quantificar riscos tecnológicos podem ser desafiadoras, especialmente quando as organizações não possuem as ferramentas ou técnicas adequadas.
  • Planos de Continuidade: Desenvolver e testar planos eficazes de continuidade de negócios e recuperação de desastres é essencial, mas muitas organizações falham em realizar testes regulares e em manter a documentação atualizada.

Esses desafios exigem que as organizações adotem uma abordagem proativa e integrada para a gestão de riscos tecnológicos, envolvendo desde a alta administração até os operadores de TI, para garantir a segurança e a resiliência organizacional.

Aula II

O que é Governança Corporativa?

É um movimento de adionistas investidores que tinham o objetivo de protegerem dos abusos praticados pela diretoria das empresas.
Conjunto de regras e de sistema de monitoramento tanato interno quanto externo para impedir tais abusos.
Surgiu entre a década de 80 e 90 nos EUA.

Empresa que incentivou: Enron, empresa de energia americana, que em 2002 fraudou os sistemas dos balanços para elevar o valor das suas ações.

Comente alguns dos principios da governança corporativa.

São 5.

Transparência:

  • Boa comunicação interna e externa que gera o ambiente de confiança dentro da organização.
  • Presta informação sobre a empresa.
  • Divulgação clara e precisa das informações, não apenas exigidas por lei ou regulamentos, mas aquelas relevantes para stakeholders (investidores).
  • “tornar público”.

Equidade:

  • Tratamento de forma justa de igualitária de todos os stakeholders.
  • “justiça para todos”.

Responsabilidade:

  • O negócios devem ser conduzidos com o objetivo de alcançar a longevidade da empresa, incorporando decisões de ordem social de ambiental na definição dos negócios e operações da empresa.
  • Detalhamento sobre as atribuições.
  • “sustentabilidade e ética”.

Compliance:

  • Conformidade com leis, regulamentos e normas internas.
  • Implementando políticas e procedimnentos para garantir a conformdidade.
  • “conformidade rigorosa”.

Integridade (novo):

  • Praticar e promover o contínuo aprimoramento da cultura ética na organização, evitando decisões sob a influência de conflitos de interesses.
  • Mantém a coerência entre discuro e ação, preservando a lealdade à organização e o cuidado com suas partes interesadas (com a sociedade geral e o meio ambiente.

Quais são os benefícios ao se aplicar esses princípios?

Melhoria na gestão e eficiência:
Adoção de boas práticas de governança pode levar a uma gestão mais efeciente e eficaz.

Aumento da confiança dos investidores:
Transparência e responsabilidade aumentam a confiança dos investidores.

Redução de riscos:
Estruturas de governança bem definidas ajudam a identificar e mitigar os riscos.

Sustentabilidade a longe prazo:
Práticas de governança corporativa promovem sustentabilidade e a responsabilidade social, contribuindo para a longevidade da empresa.

Defina ativos corporativos.

Referem-se aos recurso e bens que uma empresa possio e que têm valor econômico.
São considerados estratégicos para a governança corporativa.

Classificados como tangíveis ou intangíveis.

Tangíveis

Ativos humanos: pessoas (habilidades, plano de carreira, treinamentos, competências).
Ativos financeiros: dinheiro, investimentos, fluxo de caixa, contas a receber.
Ativos físicos: prédios, equipamentos, veículos.

Intangíveis

Ativos intelectuais: produto, serviço e processo patenteados ou registrados.
Ativos de relacionamento: relacionamentos internos e externos da organização, marca, reputação, fornecedores.
Ativos em TI: programas (sistema de informação), dados e informações.

Cite os ativos mais importantes para a Governança de TI. (GTI)

Infraestrutura de TI:
servidores, redes, sistema de armazenamento.

Sistemas e aplicações:
Softwares utilizados par agerenciador processos de négocios, CRM, ERP.

Dados e informações:
Dados dos clientes, informações financeira e operacionais.

Segurança da informação:
Ferramenta e protoclos de segurança, como firewalls, sistema de detecção.

Recursos humanos:
Equipes de TI e especialistas em segurança da informaçãoque gerenciam e protegram os ativos de TI.

Políticas e procedimentos:
Documentação que define como a TI deve operar, normas de segurança, política e processos.

O que são políticas corporativas:

As políticas corporativas desempenham um papel fundamental na governança corporativa, uma vez que estabelecem diretrizes e práticas que promovem a transparência, a responsabilidade e a ética nas organizações.

Algumas:

  • Política de sustentabilidade;
  • Política de ética e conduta;
  • Política de qualidade total;
  • Política de remuneração;
  • Política de diversidade e inclusão;
  • Política de segurança da informação;
  • Política de conflito de interesses;
  • Política de compliance;
  • Política de gestão de riscos;
  • Política de transparência e divulgação de informações;
  • Política de governança de TI;
  • Outras…

O que é 5W2H?

Sigla para What, Why, Where, Who, When, How e How Much.
Explica as dimensões.

Aula III

Concluindo…

Resuma governança corporativa

Governança corporativa é um sistema formado por princípios, regras, estruturas e processos pelo qual as organizações são dirigidas e monitoradas, com vistas à geração de valor sustentável para a organização, para seus sócios e para a sociedade em geral.

Seu foco é a busca pelo equilíbrio entre os interesses de todas as partes, contribuindo positivamente para a sociedade e para o meio ambiente.

Governança de TI (GTI)

image

A GTI é um subconjunto da governança corporativa.
Na figura acima é possivel ver a interação entre esses dois modelos.

O que motiva a GTI?

A GTI pode ser motivada por vários fatores:

  • o ambiente de negócios.
  • as integrações tecnológicas.
  • a segurança da informação.
  • os marcos de regulação.
  • a dependência do negócio em relação a TI.

Quando o conceito de GTI surgiu?

Surgiu em meio às mudanças das organizações em utilizar a TI como uma ferramenta de melhoramento de produtos e serviços e também como o relacionamento cliente/empresa, influenciando todos os setores presentes na organização.

Uma definição que se pode destacar é a da ISO/IEC 38500 (ABNT, 2009):

“é o sistema pelo qual o uso atual e futuro da TI são dirigidos e controlados. Significa avaliar e direcionar o uso da TI para dar suporte à organização e monitorar seu uso para realizar planos”.

Quais são os objetivos principais da GTI?

  • Promover o alinhamento da TI em relação ao negócio (aplicações) e a infraestrutura dos serviços.
  • Promover a implantação de mecanismos que garantem o processo continuo dos negócios.
  • promover o alinhamento de TI a marcos de regulação.

Princípios orientados da GTI

Responsabilidade

Assumir as responsabilidades quanto ao fornecimento e demandas de recursos de TI.

Estratégia

Os planos (estratégico, tático e operacional) são balizados pelas capacidades atuais e futuras de recursos de TI.

Aquisição

As aquisições de recursos de TI são fundamentadas com base em análises apropriadas e transparentes.

Desempenho

Os recursos de TI são adequados ao propósito de apoiar a organização em suas necessidades atuais e futuras.

Conformidade

Os recursos de TI atendem às legislações e normas obrigatórias.

Comportamento Humano

O exercício respeita os aspectos comportamentais do ser humano envolvido com os recursos de TI.

Ciclo da GTI

image

Alinhamento Estratégico e compliance

Planejamento estratégico de TI (PETI):
leva em consideração o planejamento estratégico corporativo, para promover o alinhamento, além dos requisitos de compliance externos, como o SOX.

Decisão, compromisso, priorização e alocação de recursos

Responsabilidades pelas decisões relativas à TI:
arquitetura, infra-estrutura, investimentos e necessidades de aplicações, assim como a definição dos mecanismos de decisão, isto é, quem deve tomar as decisões referentes a TI.

Estrutura, processos, operações e gestão

Estrutura organizacional e funcional de TI, aos processos de gestão e operação dos produtos e serviços de TI, alinhados com as necessidades do negócio.

Medição do desempenho

Determinação, coleta e geração de indicadores de resultados dos processos e serviços de TI e sua contribuição para o negócio.
Modelos como o BSC (Balanced Scorecard) são utilizados para quantificar estes resultados.

image

Governança de TI X Gestão de TI

Propósito da Governança de TI (COBIT)

  • Assegurar que as necessidades , os requisitos e as opções dos interessados da empresa sejam avaliadas para determinar, de forma equilibrada e consensual, como alcançar os objetivos da empresa.
  • Estabelecer a direção através de prioridades e tomada de decisão.
  • Monitorar o desempenho e a conformidade de acordo com a direção e os objetivos.

Propósito da Gestão de TI (ITIL)

  • Gerir planos, implementações, execuções e monitoramento de atividades em alinhamento com a direção definida pelo corpo de governança para atingir os objetivos empresariais.

Em resumo:

A governança define a direção.
A gestão tem que garantir que a direção seja respeitada.

Visão Geral

image

Principais Modelos de Melhores Práticas

image

Liste os fatores que motivam as empresas a reverem seus modelos?

  • Complexidade cada vez maior da tecnologia.
  • Crescente dependência de TI.
  • Pressão por redução de custos.
  • Maior flexibilidade e agilidade.
  • Responsabilidade legal (civil e criminal).
  • Exigência de transparência pelos acionistas e pelo mercado.
  • Mudança do perfil da concorrência.
  • Aumento das ameaças e vulnerabilidades em TI.

Como a ISACA define GTI?

“Governança de TI é de responsabilidade dos executivos e da alta direção, consistindo em aspectos de liderança, estrutura organizacional e processos que garantam que a área de TI da organização suporte e aprimore os objetivos e as estratégias da organização.”

Obs: ISACA é o acrônimo para Information Systems Audit and Control Association, uma associação internacional que suporta e patrocina o desenvolvimento de metodologias e certificações para o desempenho das atividades de auditoria e controle em sistemas de informação.

Como o ITGI define GTI?

O ITGI (2003), refere-se à GTI “como sendo um subconjunto da governança corporativa”.

Obs: ITGI é o acrônimo para Information Technology Governance Institute, fundado em 1998 pela ISACA.

Como a RNP (escola superior de redes) define GTI ?

Obs: RNP = Rede Nacional de Pesquisa

“A Governança em TI está relacionada ao desenvolvimento de um conjunto estruturado de competências e habilidades estratégicas para profissionais de TI. Assim, são responsáveis pelo planejamento, implantação, controle e monitoramento de programas e projetos de governança. Portanto, requisito fundamental para as organizações, do ponto de vista de aspectos operacionais e de implicações legais.”

Resumindo a GTI:

  • Busca o compartilhamento de decisões de TI com os demais dirigentes da organização.
  • Estabelece regras.
  • Auxilia a organização e os processos que nortearão o uso de TI pelos usuários, departamentos, divisões de negócios além de fornecedores e clientes.
  • Determina como a TI deve prover os serviços para a empresa.
  • Deve garantir o alinhamento de TI ao negócio.
  • Garante a continuidade do negócio contra interrupções e falhas.
  • Garante o alinhamento de TI com os marcos reguladores.

Aula IV

Fatores motivadores para a GTI

Ambientes de Negócios

  • Novos entrantes no mercado (competição).

  • Surgimento de produtos e serviços substitutos.
  • Globalização (novos concorrentes, menor custo).
  • Barganha de fornecedores e clientes.
  • Ciclo de vida curto dos produtos e serviços.
  • Novas ameaças na economia internacional.
  • Clientes mais exigentes e conscientes.
  • Exigência transparência nos negócios.
  • Diversidade dos acionistas.
  • Maior dinamismo nos negócios de TI.
  • Custo Brasil muito alto.

Integrações tecnológicas

  • Integração das cadeias de suprimentos através de SCM.

  • Integração entre gestão da empresa e seu chão de fábrica (ERP).
  • Padronização de seus aplicativos.
  • Integração na comunicação de dados.
  • Integração dos processos de desenvolvimento de produtos com os processos de manufatura.
  • Processos sofisticados de gestão de clientes através de CRM.
  • Integração de gestão estratégica, tática e operacional através de aplicações de DW, DM e inteligência organizacional.

Segurança da informação

  • Riscos diários: afetam as operações da empresa.

  • Envolve todos os níveis da organização na gestão da Segurança da Informação.

Dependência do negócio em relação à TI

  • Mais operações e estratégias corporativas dependem de TI.

  • TI é estratégica para o negócio.

Marcos de regulação

A GTI se refere ao conjunto de práticas, estruturas e processos que garantem que a TI de uma organização apoie e potencialize suas metas e objetivos.

Os marcos de regulação da GTI são fundamentais para garantir que as políticas e normas sejam seguidas, promovendo a eficiência e a conformidade.

Alguns dos principais marcos de regulação que orientam a GTI:

image

TI como prestadora de serviços

  • Projetos dentro prazo.

  • Atendimento aos requisitos do negócio.
  • Disponibilidade das aplicações.
  • Postura e organização orientada a prestação de serviços.

Regulamentações de Compliance

Compliance é uma palavra da língua inglesa cuja tradução é conformidade, vem do verbo “to comply” que significa: obedecer, cumprir, agir de acordo com uma regra.

Quando o termo é relacionado ao mundo corporativo, ele diz respeito à conformidade de uma empresa com as leis e normas.

Existem obrigações ambientais, trabalhistas, tributárias e regulatórias, além de questões legais, éticas envolvendo a concorrência e os regulamentos internos da empresa, que existem para serem cumpridos.

A GTI envolve diversas áreas, incluindo a gestão de riscos, a segurança da informação, a gestão de projetos e a gestão de recursos, sempre com foco em garantir que a TI contribua para o valor organizacional.

Nesse contexto, a conformidade (compliance) é um aspecto fundamental, pois se refere à adesão a leis, regulamentos, políticas internas e normas aplicáveis.

Relação entre GTI e compliance pode ser explicada por diversos fatores

Alinhamento com Regulamentações

A GTI deve assegurar que as iniciativas de tecnologia estejam em conformidade com regulamentações específicas do setor, como leis de proteção de dados (por exemplo, GDPR, LGPD), normas de segurança da informação (como ISO/IEC 27001) e requisitos financeiros (como SOX).

Isso implica em implementar controles e processos que garantam que os dados sejam tratados de forma ética e legal.

Gestão de Risco

A GTI identifica e gerencia os riscos associados ao uso da tecnologia.

A não conformidade pode resultar em penalidades legais, danos à reputação e perdas financeiras.

Portanto, a governança deve integrar práticas de compliance (conformidade) para mitigar riscos.

Políticas e Processos

A GTI estabelece políticas e processos que garantem que todas as atividades relacionadas à tecnologia sejam realizadas de acordo com as normas e regulamentos.

Isso inclui a definição de responsabilidades e a criação de mecanismos de controle para monitorar a conformidade.

Auditoria e Monitoramento

A GTI também possui auditorias regulares e monitoramento de processos e sistemas.

Isso não apenas garante que as políticas de compliance sejam seguidas, mas também ajuda a identificar áreas de melhoria e a prevenir problemas antes que se tornem críticos.

Cultura Organizacional

A GTI deve estar alinhada à cultura organizacional e aos valores éticos da empresa.

O compliance reforça essa conexão ao promover uma cultura de conformidade e ética, assegurando que todos os colaboradores estejam cientes e comprometidos com as normas que regem suas atividades.

Esses fatores demonstram que a GTI e a compliance não são disciplinas isoladas e sim interconectadas que podem contribuir para uma gestão mais eficaz e responsável da TI nas organizações.

O que é programa de Compliance?

Um programa de compliance consiste na organização interna de uma empresa para cumprir com todos os requisitos que implicam em “estar em compliance”.

São procedimentos internos que incluem a criação de normas, fiscalização, auditoria, incentivo à denúncias de irregularidades, aplicação do código de conduta e promoção de campanhas de comunicação sobre esses tópicos.

É um trabalho constante e deve ser feito mesmo quando não há um histórico de condutas inapropriadas da organização.

O programa de compliance é preventivo, existe para evitar que os problemas aconteçam e não para remediá-los.

Sistema de Compliance é obrigatório?

Em 2013, foi sancionada a Lei Nº 12.846, que dispõe sobre a “responsabilização administrativa e civil de pessoas jurídicas pela prática de atos contra a administração pública, nacional ou estrangeira”.

Esta é a Lei Anticorrupção.

Aborda a corrupção no trabalho das empresas, estabelecendo punições às organizações que lesam a administração pública, como prometer vantagem indevida a um agente público ou fraudar uma licitação.

A lei NÃO é obrigatório, porém, corporações que não adotam um programa do tipo estão correndo grandes riscos.

O que acontece é que situações nas quais os interesses da companhia esbarram em regulações do poder público são muito frequentes.

Após a aprovação da lei: o sistema de compliance é essencial para a sua própria segurança. Em alguns estados, por outro lado, adotar um programa de compliance é obrigatório para que a empresa possa celebrar determinados tipos de contrato com a administração pública: Lei Nº 7.753/2017 no Rio de Janeiro e Lei Nº 6.112/2018 no Distrito Federal, que usam o termo “programa de integridade”

Principais benefícios

  • Melhora a imagem da empresa.

  • Melhora a satisfação dos funcionários.
  • Melhora a produtividade.
  • Melhora a retenção e atração de talentos.
  • Facilidade na captação de recursos (parceiros).
  • Menos riscos jurídicos e financeiros.

O que Compliance tem a ver com TI?

Dependendo do negócio existe uma regulamentação, norma ou leis a serem seguidas.

Por exemplo, empresas de telecomunicações no Brasil são obrigadas a seguir a regulamentação da Anatel.

Os bancos seguem normas do Banco Central e empresas com ações na Bovespa seguem regulamento da CMV – Comissão de Valores Imobiliários.

Existem também normativas do Governo Federal, normas ISO, PCI, DSS, Código Civil, Código de Defesa do Consumidor, entre outras.

Estar em compliance com a LGPD significa adequar a rotina e os processos ao texto da lei e, assim, inserir a empresa nessa nova cultura organizacional. Essa adequação garante maior segurança aos clientes, funcionários e parceiros, além de benefícios para as empresas.

Compliance é muito mais do que seguir regras. Além disso, pode trazer muitos ganhos, como credibilidade diante das partes relacionadas e novas oportunidades no mercado.

Marcos regulatórios e GTI

A GTI além de alinhar a TI com o negócio, também deve atender as estratégias em conformidade com os marcos de regulamentação. Os regulamentos e normas que têm impacto significativo em TI.

São eles: SOX, Basileia II, Resolução 3380 do Bacen, GDPR, LGPD, ISSO/IEC 27001, Health Insurance Portability and Accountability Act (HIPAA), Payment Card Industry Data Security Standard (PCI DSS).

SARBANES-OXLEY ACT (SOX, SARBOX, SOA)

Contexto

O ano de 2001 não ficou marcado somente pelos atentados às Torres Gêmeas, em Nova York.

Também ocorreu o escândalo financeiro de uma das maiores empresas americanas, a Enron (empresas líderes no mundo em distribuição de energia (eletricidade, gás natural e comunicações).

Uma empresa gigantesca do setor de energia, localizada em Houston, Texas que empregava cerca de 21000 pessoas e com faturamento superior a U$ 100 bilhões, envolveu-se num emaranhado de fraudes contábeis que a levou decretar falência, prejudicando milhares de investidores.

Objetivo da lei?

Diante desses acontecimentos, o Congresso dos EUA contra-atacou, aprovando a lei Sarbanes-Oxley, conhecida como SOX, que tinha o objetivo de proteger investidores e “stakeholders” contra crimes financeiros e evitar a proliferação de práticas desse tipo, que manchavam a imagem do mercado de capitais do país.

A SOX visa aprimorar a governança corporativa e a prestação de contas (informações sobre receitas, despesas, balanço patrimonial e total de ativos e passivos).

Em outras palavras, o objetivo da SOx é o de identificar, combater e prevenir fraudes que impactam no desempenho financeiro das organizações, garantindo o compliance.

Quem obedece a lei?

Todas as empresas, sejam americanas ou não, com ações na SEC (Securities and Exchange Comission, o que equivale a nossa CVM) devem seguir as definições da SOX.

Importante destacar que a Lei Sarbanes-Oxley não é um conjunto de práticas de negócios e não especifica como uma empresa deve armazenar registros.

Em vez disso, define quais registros devem ser armazenados e por quanto tempo.

Por esse motivo, não é apenas o lado financeiro das empresas que é afetado, mas também os departamentos de TI, que são encarregados de armazenar os registros eletrônicos.

Onde a TI é afetada pela SOX?

De acordo com a SOX, todos os registros comerciais, incluindo registros eletrônicos e mensagens eletrônicas, devem ser salvos por não menos de cinco anos. As consequências para o não cumprimento do ato variam desde multas até prisão.

Atinge empresas de capital aberto e que tem ações nas bolsas de valores norte-americanas.

Quem foram os criados?

Projeto de lei dos deputados Paul S. Sarbanes e Michael Oxley foi aprovada e editada como lei norte-americano George W. Bush em 30 de julho de 2002.

Resumindo

A criação desta lei foi uma consequência das fraudes e escândalos contábeis que atingiram grandes corporações nos Estados Unidos (Enron, Arthur Andersen, WorldCom, Xerox etc…).

Teve como objetivo evitar a fuga dos investidores pela insegurança e perda de confiança em relação as escriturações contábeis e aos princípios de governança nas empresas.

A SOX prevê criação de mecanismos de auditoria e segurança confiáveis nas empresas, definindo regras para a criação de comitês formados por membros independentes para supervisionar suas atividades e operações.

Busca evitar a ocorrência de fraudes e criar meios de identificá-las quando ocorrem, reduzindo os riscos nos negócios e garantindo a transparência na gestão.

Deixe um comentário

Talvez você também goste